- 博客(12)
- 收藏
- 关注
RSS订阅原创 Spring Security 解析(六) —— 基于JWT的单点登陆(SSO)开发及原理解析
单点登陆本质上就是授权码模式,所以理解起来还是很容易的,如果非要给个流程图,还是那张授权码流程图:本文介绍 基于JWT的单点登陆(SSO)开发及原理解析 开发的代码可以访问代码仓库 ,项目的github 地址 :## 零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
667
1
原创 Spring Security 多过滤链的使用
在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api/api/**这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/**这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。
2022-12-25 18:22:55
334
原创 Spring Framework CVE-2022-22965漏洞详细分析
jdk9+Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本。
2022-12-25 18:20:51
323
原创 Spring Security 多过滤链的使用
在我们实际的开发过程中,有些时候可能存在这么一些情况,某些api/api/**这些是给App端使用的,数据的返回都是以JSON的格式返回,且这些API的认证方式都是使用的TOKEN进行认证。而除了 /api/**这些API之外,都是给网页端使用的,需要使用表单认证,给前端返回的 都是某个页面。
2022-12-24 13:10:54
224
原创 Spring Security Oauth2 自定义 OAuth2 Exception
在使用登录和鉴权失败时,默认返回的异常信息如下}。它与我们自定义返回信息不一致,并且描述信息较少。那么如何自定义异常信息呢,下面我们简单实现以下。{"message": "坏的凭证",}添加自定义异常类,指定json序列化方式}}自定义用于tokan校验失败返回信息}}}
2022-12-24 13:10:16
294
原创 Spring Framework CVE-2022-22965漏洞详细分析
jdk9+Spring 及其衍生框架使用tomcat部署spring项目使用了POJO参数绑定Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本。
2022-12-24 13:07:55
167
原创 Spring Boot配置文件数据也可以轻松加密?
在实践中,项目的某些配置信息是需要进行加密处理的,以减少敏感信息泄露的风险。比如,在使用Druid时,就可以基于它提供的公私钥加密方式对数据库的密码进行加密。但更多时候,比如Redis密码、MQ密码等敏感信息,也需要进行加密,此时就没那么方便了。本篇文章给大家介绍一款Java类库Jasypt,同时基于Spring Boot项目来演示一下如何对配置文件信息进行加密。
2022-12-21 18:27:39
1291
原创 Spring Boot Admin 2 值得了解的新变化
6.19号,spring团队发布了期待已久的 Spring Cloud Finchley.RELEASE 版本。期间Spring Boot Admin 也发布了 2.0.1 兼容它,我在升级到的同时 发现很多有意思的变化整理发出来。
2022-12-21 18:26:41
100
原创 Spring Boot Actuator详解与深入应用(一):Actuator 1.x
我们还可以定制实现health指示器。它可以收集特定于应用程序的任何类型的自定义运行状况数据,并通过/health端点访问到定义的信息。@Component}}实现接口,并覆写其中的health()方法即可自定义我们的/health端点。除了使用Spring Boot Actuator提供的端点,我们也可以定义一个全新的端点。首先,我们需要实现Endpoint@Component}}getId()方法用于匹配访问这个端点,当我们访问/custom时,将会调用invoke()我们自定义的逻辑。
2022-12-21 18:26:11
356
原创 Sechunter移动应用隐私合规检测详解
受益于移动设备的广泛普及,移动应用近年来得到了蓬勃发展。基于移动设备集成的各类传感器,众多功能丰富的移动应用被开发出来,聚集了大量高价值用户隐私数据,包括用户身份信息、地理位置信息、账户资料信息等。用户在享受移动应用带来便利的同时,其隐私安全也受到了重大威胁。在这样的背景下,移动应用隐私合规检测应运而生。本文简要介绍Sechunter移动应用隐私合规检测的方法步骤,以及目标检测技术在其中的应用。移动应用的隐私合规检测,从技术形态上可以分为静态检测方案与动态检测方案。以下分别作简要介绍。
2022-12-18 10:51:12
171
1
原创 SDWebImage源码解析
关于SDWebImage的文章网上已经非常多了,今天写SD相关的一方面算是对优秀的开源框架代码学习,另一方面总结一下框架内优秀的思想,知识的积累本身也是在于总结。总结1.GCD的使用,多线程加锁防止资源竞争以及barrier栅栏块的使用。2.如果for循环中或者获取的资源内存开销较大可以尝试使用进行内存优化。3.对于不同地方下载同一资源的情况,可以尝试使用SD的block回调存储以及回调时机的策略,保证资源只有一个在下载,而不同调用的地方都能得到回调,进度回调或者完成回调及失败回调等等。
2022-12-18 10:49:11
111
1
原创 Saltstack CVE-2020-11651和CVE-2020-11652复现
SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。在CVE-2020-11651认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。
2022-12-18 10:48:03
144
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人